基于回调和PEB的木马逆向分析
💡
原文中文,约2700字,阅读约需7分钟。
📝
内容提要
本文分析了一种恶意DLL加载技术,利用合法软件执行恶意代码。通过回调机制和内存保护修改,恶意代码得以运行。研究发现,恶意DLL通过篡改加载顺序实现木马功能,并采用反沙箱检测。最终,利用回调函数触发恶意代码执行,展示了API哈希匹配和内存管理的复杂性。
🎯
关键要点
- 本文分析了一种恶意DLL加载技术,利用合法软件执行恶意代码。
- 恶意代码通过回调机制和内存保护修改得以运行。
- 恶意DLL通过篡改加载顺序实现木马功能,并采用反沙箱检测。
- 使用VirtualAllocExNuma分配内存空间,使用VirtualProtect修改内存保护为PAGE_EXECUTE_READWRITE。
- 通过API哈希匹配技术判断对应的函数,shellcode加密为IPv4地址。
- 分析发现drstat.dll是恶意DLL,程序通过篡改DLL加载顺序加载恶意代码。
- 使用动态和静态分析工具(如IDA和xdbg)分析DLL文件。
- 程序通过LoadLibrary和GetProcAddress函数载入相关函数,规避检测。
- shellcode经过加密存储,需解密后才能执行,使用异或解密方法。
- 最终通过EnumCalendarInfoA函数注册回调函数,触发恶意代码执行。
- 回调函数遍历日历系统,触发恶意代码的执行。
- 本文为独立观点,未经授权禁止转载。
➡️
